Le recenti scoperte in merito a OpenClaw, il popolare framework di agenti AI, hanno acceso un nuovo allarme sulla sicurezza informatica, spingendo gli esperti a raccomandare agli utenti di assumere un compromesso imminente dei propri sistemi. Nelle ultime 48 ore, sono emerse notizie su vulnerabilità critiche che espongono dati sensibili e consentono l'escalation dei privilegi.
Una delle principali preoccupazioni è la CVE-2026-33579, una falla di escalation dei privilegi nel meccanismo di autorizzazione di OpenClaw, in particolare nel comando `/pair approve`. Questa vulnerabilità ha permesso a utenti non autorizzati di ottenere privilegi elevati a causa di un controllo di autorizzazione mancante. La situazione è stata aggravata da un ritardo di 48 ore tra il rilascio della patch (29 marzo) e la sua pubblicazione nel National Vulnerability Database (31 marzo), creando una "finestra di fuoco" per gli attaccanti.
Un'altra vulnerabilità, la CVE-2026-34503, riguarda la mancata disconnessione delle sessioni WebSocket attive in OpenClaw (versioni precedenti alla 2026.3.28) quando i dispositivi vengono rimossi o i token revocati, consentendo così accessi non autorizzati persistenti. Con oltre 135.000 istanze OpenClaw accessibili pubblicamente, di cui il 63% opera senza autenticazione, il rischio di compromissione è elevato. Le implicazioni sono gravi, con casi di dati dei pazienti apparsi su marketplace del dark web e il dirottamento di dispositivi IoT. Questo scenario sottolinea l'importanza di una rigorosa protezione dei dati, un principio fondamentale del GDPR in Europa, che impone alle aziende di salvaguardare le informazioni personali. Gli utenti sono esortati ad aggiornare immediatamente a OpenClaw 2026.3.28 e a condurre un'analisi forense approfondita, trattando le proprie istanze come potenzialmente compromesse.